'혐한' 中 해커 조직에 12곳 뚫려···'과시용 공격' 가능성

김윤수 기자 2023. 1. 25. 16:23
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
◆샤오치잉, 국내 학술기관 해킹
건설정책연 등 홈페이지 웹변조
국민서비스 마비 등 2차피해 우려
"2000곳 턴다" KISA 등 타깃 지목
"웹 취약점검 서비스 이용" 당부

25일 오전 접속한 한국학부모학회 홈페이지. 중국 해커 조직 샤오치잉의 웹 변조 공격으로 정상적인 이용이 불가능하다. 웹사이트 캡처

25일 오전 접속한 한국학부모학회 홈페이지. 중국 해커 조직 샤오치잉의 웹 변조 공격으로 정상적인 이용이 불가능하다. 웹사이트 캡처
[서울경제]

국내 공공기관에 대한 사이버 공격을 예고했던 중국 해커 조직이 실제로 12개 학술 기관의 홈페이지를 해킹했다. 정부는 이번 공격이 실질적 피해를 거의 주지 못한 ‘과시용 공격’이라고 보면서도 향후 더 큰 피해로 번질 수 있는 2차 공격 가능성에 주의를 기울이고 있다.

25일 과학기술정보통신부와 한국인터넷진흥원(KISA)에 따르면 혐한 성향으로 알려진 중국 해커 조직 ‘샤오치잉(???·진나라 군사 조직 이름)’은 설 당일인 22일 대한건설정책연구원을 시작으로 이날까지 국내 12개 학술 기관의 홈페이지를 해킹했다. 우리말학회, 한국고고학회, 한국학부모학회, 한국교원대 유아교육연구소, 한국보건기초의학회, 한국사회과수업학회, 한국동서정신과학회, 대한구순구개열학회, 한국시각장애교육재활학회, 제주대 교육과학연구소, 한국교육원리학회 등이 공격 대상이 됐다.

샤오치잉은 웹 변조 공격을 감행했다. 이용자에게 노출되는 홈페이지의 텍스트 및 이미지 정보를 임의로 바꾸는 공격이다. 해당 홈페이지들은 기존 홈 화면이 ‘한국 인터넷 침입을 선포하다’라는 샤오치잉이 임의로 만든 메시지와 배경 화면으로 대체됐다. 일부 홈페이지는 ‘페이지가 작동하지 않습니다’라는 브라우저 안내 메시지가 뜨면서 역시 접속이 불가능한 상태다.

이로 인해 해당 홈페이지를 이용하지 못하는 피해가 빚어지고 있다. 당국은 해커 조직의 것으로 확인된 인터넷주소(IP)들을 차단한 후 홈페이지 관리자들의 복구 작업을 지원하고 있다. 해커 조직이 ‘관리자 권한’까지 탈취했을 경우 IP 차단 후에도 웹 변조가 가능하고 피해가 장기화될 수 있어 탈취 여부를 우선적으로 조사 중이다.

이번 공격은 홈페이지 이용 불편 외 별다른 피해가 없어 해커 조직이 자신들의 해킹 능력을 과시하기 위한 목적으로 보인다. 과기정통부 관계자는 “해킹이 쉬운 홈페이지들만 노렸고 별다른 경제적 이득을 취하지 않은 만큼 과시용 공격으로 보고 있다”며 “이 조직의 텔레그램방에서는 해킹 소식을 알리는 국내 언론 보도들이 공유되고 있다. 과한 대응으로 자극하지 않고 신속한 진화에 집중할 것”이라고 말했다. 염흥열 순천향대 정보보호학과 교수는 “가상자산이나 기밀정보 탈취를 노렸으면 해킹 사실을 공개적으로 알리지 않았을 것”이라며 “과시형 공격의 가능성이 크다”고 했다. 업계에서는 한국의 중국 국민에 대한 단기 비자 발급 제한 등 양국의 외교 갈등에 따른 보복 목적이 있을 것이라는 주장도 나온다.

이런 이유로 당국과 보안 업계 전문가는 웹 변조를 ‘가장 낮은 수준의 사이버 공격’으로 보면서도 이를 시작으로 추가로 이뤄질 수 있는 2차 공격 가능성에 주의를 기울이고 있다. 홈페이지 탈취로 기관 구성원들의 e메일 주소 등 개인정보를 얻은 후 악성코드를 배포해 더 민감한 정보를 뺏는 랜섬웨어 공격(주요 데이터를 암호화해 사용할 수 없게 한 뒤 이를 인질로 금전을 요구하는 사이버 공격)으로 이어지거나, 단순한 웹 변조라도 학술 기관이 아닌 대국민 서비스를 제공하는 공공기관 홈페이지를 마비시켜 국민의 불편을 키울 가능성이 있다는 것이다.

실제로 샤오치잉은 사이버 보안 주무 기관인 KISA를 포함한 2000개 기관에 대한 공격도 예고했다. 앞서 오픈소스 커뮤니티 깃허브에 식품의약품안전처·국립과학수사연구원·포스코 등 국내 기업·기관 구성원 161명의 이름·계정·전화번호·주소·e메일 등 개인정보를 노출한 만큼 2차 공격이 현실화될 우려가 나온다. 장항배 중앙대 산업보안학과 교수는 “특히 개인이 아닌 팀 단위 해커라면 단순한 과시를 넘어 경제적 대가 요구 같은 2차적인 목적도 가졌을 가능성이 크다”며 “이번 공격을 1차적인 조치로 본다면 이다음 ‘본공격’에 대비해야 할 것”이라고 했다.

과기정통부는 국정원·경찰과 공조해 샤오치잉의 규모와 해킹 능력 파악에 나섰다. 과기정통부 관계자는 “웹 관리자들은 KISA 보호나라 홈페이지에서 제공하는 웹 취약점 점검 서비스를 이용하면 해커가 노리는 취약점을 사전에 보완할 수 있다”며 “이번 12개 홈페이지도 이 서비스를 이용했다면 막을 수 있었던 피해”라고 밝혔다.

김윤수 기자 sookim@sedaily.com강도림 기자 dorimi@sedaily.com

Copyright © 서울경제. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
서울경제에서 직접 확인하세요. 해당 언론사로 이동합니다.